В Банке данных угроз безопасности информации (BDU) зарегистрирована критическая уязвимость с идентификатором BDU:2026-05631 (CVE-2026-33808). Она затрагивает популярный веб-фреймворк Fastify, работающий на платформе Node.js. Проблема связана с функцией enhanceRequest и ошибкой типа CWE-436 - конфликт интерпретаций при обработке имени и значений HTTP-заголовков. Нарушитель может действовать удаленно, не требуя аутентификации или взаимодействия с пользователем.
Детали уязвимости
Уязвимость позволяет воздействовать на конфиденциальность, целостность и доступность защищаемой информации. Особую тревогу вызывает тот факт, что эксплойт уже существует в открытом доступе. Следовательно, злоумышленники могут немедленно начать атаки на уязвимые системы. Вместе с тем производитель Matteo Collina подтвердил наличие проблемы и выпустил обновление, устраняющее угрозу. Уязвимы все версии Fastify до 4.0.4 включительно. Разработчикам настоятельно рекомендуется обновить фреймворк до версии 4.0.5 или выше. Подробные рекомендации доступны в GitHub advisory по ссылке GHSA-6hw5-45gm-fj88. Кроме того, информирование об уязвимости опубликовано на портале OpenJS Foundation.
Базовая оценка по CVSS 2.0 составляет 10. Оценка CVSS 3.1 равна 9,8. Версия CVSS 4.0 дает 9,1 балла. Все три метрики указывают на критический уровень опасности. Вектор атаки CVSS 4.0 включает условие AT:P - то есть атака требует предварительных знаний о конфигурации цели. Но это не снижает общего риска.
Fastify широко используется для создания высокопроизводительных веб-приложений на Node.js. Ошибка конфликта интерпретаций возникает, когда разные компоненты по-разному обрабатывают одни и те же данные. В данном случае злоумышленник может подделать HTTP-заголовки или внедрить вредоносную нагрузку (payload). Например, возможна атака типа HTTP request smuggling, позволяющая обойти механизмы защиты. Важно отметить, что эксплуатация не требует привилегированного доступа к системе. Атака возможна из внешней сети. В результате нарушитель может получить доступ к конфиденциальным данным, изменить их или нарушить работу сервиса. При этом доступность в версии CVSS 4.0 оценена как "none", то есть атака не вызывает полный отказ в обслуживании, но целостность и конфиденциальность страдают в высокой степени.
Разработчикам следует немедленно проверить используемые версии Fastify. Если используется версия 4.0.4 или ниже, обновление обязательно. Процесс обновления стандартный для Node.js проектов - достаточно изменить номер версии в файле package.json и выполнить установку зависимостей заново. Кроме того, стоит временно ограничить входящие HTTP-соединения к уязвимым экземплярам, если обновление невозможно выполнить сразу. Вместе с тем рекомендуется проверить веб-логи на предмет подозрительных запросов с нестандартными заголовками.
Эта уязвимость - очередное напоминание о важности своевременного обновления зависимостей в экосистеме Node.js. Популярность Fastify делает его привлекательной целью для киберпреступников. Наличие опубликованного эксплойта существенно повышает краткосрочные риски. Для администраторов безопасности (SOC) рекомендовано внести индикаторы компрометации, связанные с атаками на Fastify, в конфигурации систем обнаружения вторжений (IDS). Аналитикам стоит обратить внимание на необычные паттерны HTTP-заголовков, особенно на дублирование или конфликтующие значения одних и тех же полей.
В заключение подчеркнем: производитель уже устранил проблему, но ответственность за обновление лежит на пользователях. Игнорирование рекомендаций может привести к серьезным последствиям.
Ссылки
- https://bdu.fstec.ru/vul/2026-05631
- https://www.cve.org/CVERecord?id=CVE-2026-33808
- https://github.com/fastify/fastify-express/security/advisories/GHSA-6hw5-45gm-fj88
- https://cna.openjsf.org/security-advisories.html
